HP fortify XML Inject Entity Injection

Question

HP fortify XML Inject Entity Injection

Hp fortify показывает мне инъекцию внешнего объекта XML в приведенный ниже код:

StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString());  //bad code
result = xmlDoc.ChildNodes[1].OuterXml;

в приведенном выше он показывал уязвимость в следующей строке xmlDoc.LoadXml(stringWriter.ToString());

Как я могу разрешить эту ситуацию?

5

c# xml c#-4.0 fortify xxe

Источник

user3089816 08 фев '17 в 22:54

1 ответ

Решение

В объекте XmlDocument есть объект XmlResolver, для которого необходимо установить значение NULL в версиях до 4.5.2. В версиях 4.5.2 и выше этот XmlResolver по умолчанию имеет значение null.

0

Источник

user3568210 08 авг '19 в 15:50

Другие вопросы по тегам c# xml c#-4.0 fortify xxe

user7105957 10 фев '17 в 22:35 2017-02-10 22:35 · Accepted Answer · 2017-02-10 22:35

use xmlDoc.XmlResolver = null; перед загрузкой XML.

3

Источник

user7105957 10 фев '17 в 22:35